Chi è il Data Protection Officer?

GDPR
GDPR

Il 25 Maggio si avvicina. Cos’accadrà? Come tutte le web agency ci ripetono da un mese e mezzo a questa parte, entrerà ufficialmente in vigore il General Data Protection Regulation, il GDPR, ovvero il regolamento generale sulla protezione dei dati. Io, come tutti coloro in possesso di un sito, sto cercando di raccapezzarmi tra le varie normative, leggi, controleggi, rettifiche introdotte dal provvedimento per adeguare il mio servizio e renderlo appunto a norma di legge. Ho deciso di proporvi quindi una parte del mio lavoro, quella riguardante il Data Protection Officer… e spiegarvi come mai, per fortuna, io non ne avrò bisogno.

Il Data Protection Officer  (abbreviato in DPO), ovvero il Responsabile della Protezione dei Dati, è la nuova figura introdotta dal regolamento europeo (GDPR) sulla privacy che diventerà operativo dal 25 Maggio. Si tratta di una figura nuova nel mercato del lavoro di tipo dirigenziale con competenze trasversali in ambito normativo e informatico. Il suo compito principale sarà quello di individuare una serie di soluzioni di sicurezza informatica che altrimenti non sarebbero immediate per chi non se ne intende di informatica e normativa privacy. Ad essere interessate sono tutte quelle aziende, agenzie, enti pubblici e privati, che tratteranno dati sensibili di una certa rilevanza.

Il DPO si distingue sia dal responsabile del trattamento sia dal titolare  dell’azienda. Egli, in primo luogo, non avrà le responsabilità che invece rimarranno di pertinenza delle due figure sopracitate, ma avrà la responsabilità di formare e adeguare il personale che lavora con i dati, con l’obiettivo finale di proteggerli. Infatti il GDPR all’Articolo 39 prevede quanto segue (potete scaricare l’intero documento del GDPR):

Articolo 39

Compiti del responsabile della protezione dei dati

1. Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:

a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;

d) cooperare con l’autorità di controllo;

e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione;

2. Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.

Privacy
Privacy

Il DPO, quindi, deve essere preparato sull’argomento sicurezza informatica, dato che deve prendere decisioni in merito all’utilizzo dei dati e ai rischi che esso comporta.

Il DPO non è una figura obbligatoria. Le aziende possono valutare se inserirlo nel proprio organico oppure no, dipendentemente dal fatto di averne un reale bisogno. Risulterebbe inutile all’interno di aziende piccole con un numero limitato di clienti o fornitori, oppure quando la natura dei dati raccolta normalmente è tale da non mettere a rischio la “libertà e i diritti personali dell’interessato” qualora venissero interpolati o acquisiti in maniera indebita (penso a dati di tipo sanitario e giudiziario; recapito e indirizzo, invece, non sono così interessanti da giustificare una grande protezione). L’articolo 37 chiarisce la natura dell’azienda o ente che deve provvedere ad avvalersi del lavoro del DPO, nonché le caratteristiche che quest’ultimo deve possedere per poterlo svolgere.

Articolo 37

Designazione del responsabile della protezione dei dati

1. Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:

a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

2. Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento.

3. Qualora il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.

4. Nei casi diversi da quelli di cui al paragrafo 1, il titolare e del trattamento, il responsabile del trattamento o le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento possono o, se previsto dal diritto dell’Unione o degli Stati membri, devono designare un responsabile della protezione dei dati. Il responsabile della protezione dei dati può agire per dette associazioni e altri organismi rappresentanti i titolari del trattamento o i responsabili del trattamento.

5. Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.

6. Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.

7. Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorità di controllo.

Quindi, se consideriamo una piccola azienda privata, essa potrebbe trattare dati sensibili e quindi scegliere se è il caso di avvalersi di un DPO; nel caso di un ospedale, invece, la società deve per sua natura trattare dati sensibili, e quindi non può fare a meno di un DPO. Per questo motivo e per il fatto che questi dati sensibili possono essere, se rubati, fonte di violazione della libertà e dei diritti personali dell’interessato, allora il GDPR impone l’obbligo di un controllo più pervasivo, fino alla nomina di un soggetto che si occupi solo di questo.

GDPR UE
GDPR UE

Vi riporto, per amor di completezza, la definizione di dati sensibili che ho trovato su www.garanteprivacy.it :

Sono dati personali le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.. Particolarmente importanti sono:

  • dati identificativi: quelli che permettono l’identificazione diretta, come i dati anagrafici: (nome e cognome), le immagini, ecc.
  • dati sensibili: quelli che possono rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale;
  • dati giudiziari: quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato.

In questi giorni (18.05) sta prendendo forma la banca dati dei responsabili della protezione dei dati (DPO). L’Autorità della riservatezza ha messo a punto la modulistica per l’invio telematico da parte dei soggetti interessati (privati, imprese, pubbliche amministrazioni…) che consente di comunicare al Garante (www.garanteprivacy.it) la designazione del DPO. Tale operazione va portata a termine entro il 25 Maggio.

Io, avendo soltanto un piccolo sito, non ho bisogno di un DPO. Devo invece mettervi al corrente di tutto quello che faccio nel dietro le quinte con i vostri dati sensibili, qualora li raccolga. In realtà l’unica cosa che metto in pratica con una certa costanza è l’utilizzo di Google Analytics per monitorare l’andamento del sito e l’utilizzo di alcuni plugin. Presto inserirò una sezione dedicata appositamente che spiegherà agli utenti questo aspetto.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

LinkedIn
Share
RSS